第4章　审计和问责

当成功地完成身份识别、身份验证和授权过程后（或者甚至是在完成这些过程时），还需要跟踪组织中正在进行的活动。即使允许一方访问你的资源，仍然需要确保他们的行为符合规则，特别是与安全、业务行为和道德相关的规则。从本质上讲，需要确保能够追究系统用户的责任（见图4-1）。

图4-1　始终保持用户为其行为负责

追究某人的责任意味着确保此人对自己的行为负责。这一点尤其重要，因为大多数组织都以数字形式存储了大量信息。如果不跟踪人们如何访问以数字方式存储的敏感数据，可能会遭受业务损失、知识产权盗窃、身份盗窃和欺诈。此外，数据泄露可能会给组织造成法律后果。某些类型的数据（例如医疗和金融数据）在一些国家受到法律保护；在美国，有两部这样的著名法律，分别是1996年保护医疗信息的《医疗保险便携性和责任法案》（Health Insurance Portability and Accountability Act）和2002年保护公司不被欺诈的《萨班斯-奥克斯利法案》（Sarbanes-Oxley Act）。

确保负责的主要措施就是审计，即审查组织的记录或信息的过程。执行审计，确保人员遵守法律、政策和其他管理控制主体。审计也可以防止攻击，如信用卡公司会通过账户购买记录进行登记和审计。如果你决定在一天内购买6台笔记本电脑，那么异常行为可能会触发公司监控系统的告警，公司可能会暂时冻结该卡的购买活动。本章将更详细地介绍问责，以及如何使用审计来实施问责。